中型企业网络设计与仿真

1、第1章 绪论企业局域网伴随着Internet的成长而高速的发展，到现在已经形成了完整的体系结构和解决方案。但要设计一个完善和健壮的企业网络是非常不容易的，因为这涉及到很多复杂的细节问题。首先是收集企业的网络办公需求，然后根据需求来设计企业网络，本设计是针对中型企业的网络，所以办公需求并不复杂。在分析完整需求后，根据网络的特点分成硬件和软件的设计。硬件设计整个网络系统的基础，其中分成三个模块的设计：交换机模块、防火墙模块和服务器模块的设计，重点是交换机模块的设计。软件设计就是在这些硬件的基础上实施各种高级的应用服务如DNS、DHCP、WEB、FTP和各种企业应用软件和数据库系统。第2章 需求分析

2、企业网（ENTERPRISE NETWORK）是非常典型的综合网络实例。在本设计方案中主要是对一个中型企业进行整体的网络设计。为了更好的设计企业网络我们将需求分为硬件需求和软件（服务）需求。经需求分析，得出以下结论：2.1 硬件需求(1)对于中小企业，采用基于TCP/IP协议组的以太交换网模式是最适合的。经过几年的发展，以太交换技术和产品都十分成熟，网络的实现和管理简单，维护量小，并且可以向未来的发展进行平滑的升级和过渡。(2)企业内部局域网带宽方面采用千兆主干、百兆到桌面的设计，这样足以满足企业的现有应用。(3)通过DSL技术接入Internet，使公司连接外网，时时与外界保持沟通和交流更新

3、。(4)为分割广播域减少不必要的流量，对公司的网络实施VLAN。(5)在接入Internet干线上放置硬件防火墙保障公司的网络安全。(6)实施VOIP的语音服务。(7)因申请的公有IP地址有限，故公司内部除部分服务器外全部使用防火墙实施NAT转换。2.2 软件（服务）需求(1)建立域服务器，统一管理公司的资源。(2)为管理简单，全公司使用一台DHCP服务器实施灵活的IP地址的分配。(3)建立WWW、FTP、DNS和邮件等企业常用应用服务。(4)建立两个网页服务器，一个只供企业内部访问，一个供Internet用户访问。(5)建立企业级的数据库服务器，集中管理公司的各种数据。以下根据上述的需求分析

4、来设计企业网络。第3章 硬件设计3.1 系统总体设计该企业园区共有3座建筑，分别是：办公大楼、研发中心和生产中心。一共12个部门，分别是：IT管理、财务、市场、客服、采购、人力、公关、设备后勤、售后、销售、研发和生产部门。考虑到该企业的信息点分布情况，整体网络采用层次结构的设计，这样设计的好处是：(1)使网络简单化通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。(2)使设计更灵活层次化设计使得骨干网和区域网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个

5、网络架构。在大多数情况下，可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。(3)使路由器管理更容易由于层次化网络结构使网络分层，相对缩小的网络区域使路由器的邻居或对等通信端数量减少，因此路由器的配置变得简单化。根据这种层次化网络设计思想的原则，我们可以把企业Intranet网络工程的整个网络体系结构分为以下三层：核心层、汇聚层、接入层。如图2-1：图3-1 网络层次结构为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构如图2-2所示：

6、图3-2 总拓扑图3.2 交换模块设计一个性能优良的网络都应该是一个分层的设计。这样不但简化了交换网络的设计，同时也提高了交换网络的可靠性和可扩展性。下面我们将按照分层的设计与配置进行论述。3.2.1 核心层设计 设备的选择核心层交换机将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是CISCO 6903交换机。Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。Catalyst 6500系列中的所有型号都使用了

7、统一的模块和操作系统软件，形成了能够适应未来发展的体系结构，由于能提供操作一致性，因而能提高IT基础设施的利用率，并增加投资回报。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口，提供每秒数亿个数据包处理能力的网络核心，Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。其中Cisco Catalyst 6500系列千兆位以太网模块具有以下特性： (1)为所有部署提供灵活的配置-根据各种部署要求提供灵活的端口密度、介质种类和速度；(2)提供多种介质和连接器-提供多模光纤或单

8、模光纤，使用MT-RJ及模块化GBI和SFP光接口，站点间的最远距离可达100km； (3)高端口密度-每个模块816个端口，每个系统最多256个端口；(4)可以扩展和预测的性能-提供交换矩阵连接选项和不同吞吐量：32Gbps带宽/15Mpps（传统接口模块）、256Gbps带宽/30Mpps（CEF256接口模块）和256Gbps带宽/210Mpps（dCEF256接口模块）；(5)操作一致性-能够在运行Cisco IOS Software和Cisco Catalyst Operating System Software的所有Catalyst 6500 3插槽、6插槽、9插槽和13插槽机箱中

9、获得支持，能够与所有其它接口和服务模块互操作，与所有Catalyst 6500Supervisor Engine向下兼容；(6)网络正常运行时间最长，弹性最好-支持思科增强型每虚拟LAN（VLAN）生成树+（PVST+）协议、IEEE 802.1w快速生成树协议（RSTP）和IEEE 802.1s多个生成树（MST）协议、每VLAN快速生成树（PVRST）协议、热备份路由器协议（HSRP）、虚拟路由器冗余协议（VRRP）、Cisco EtherChannel?以及用于建立容错连接的IEEE 802.3ad链路汇聚；(7)卓越的流量管理-为每个接口提供大缓冲器，并为流量优先排序和监管提供多个优先

10、级序列，严格执行服务等级协议（SLA）；(8)提供大量管理工具-支持CiscoWorks网络管理平台、简单网络管理协议（SNMP）1、2和3版本以及四个RMON组（统计、历史、告警和事件）。我们选择的WS-C6503-E交换机有三个插槽，分别配置1个基于Supervisor Engine 32 的WS-SUP32-GE-3B模块用于下联三个汇聚层交换机（配有 8 端口千兆以太网 PFC3B和 MSFC2A），和2个采用传统接口的WS-X6316-GE-TX模块（带有16个10/100/1000自适应RJ-45接口），用于连接企业的服务器阵列。 核心层交换机的配置(1)基本配置核心

11、层交换机有两台，分别命名为core1和core2；首先对交换机做一个通用的配置，通用配置如下：（core1和core2配置完全相同，以core1为例）设置交换机名称Switch(config)#hostname core1Core1(config)#设置交换机密码：Core1(config)#enable secret lisen设置登陆虚拟终端Core1(config)#line vty 0 15Core1(config-line)#loginCore1(config-line)#password lisen设置虚拟终端超时时间Core1(config)#line vty 0 15Core1

12、(config-line)#exec-timeout 5 30设置控制台终端超时时间Core1(config)#line con 0Core1(config-line)#exec-timeout 5 30禁用IP地址解析特性当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。启用此特性可以减少网络上不必要的流量。Core1(config)#no ip domain-lookup启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。Core1(config)#logging synchronous启

13、用远程管理为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP段为/24，这里为core1的管理IP设置为/24，具体配置如下命令：Core1(config)#interface vlan 1Core1(config-if)#ip address Core1(config-if)#no shut

14、down为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为54，命令如下：Core1(config)#ip default-gateway 54为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：Core1(config)#ip classlessCore1(config)#ip subnet-zero开启端口由于思科的设备端口默认是关闭的，如要使用的话就需将其开启：Core1(config)# interface range giga

15、bitethernet 1/1-8Core1(config-if-range)#no shutdownCore1(config-if-range)#exitCore1(config)# interface range gigabitethernet 2/1-16Core1(config-if-range)#no shutdownCore1(config-if-range)#exitCore1(config)# interface range gigabitethernet 3/1-16Core1(config-if-range)#no shutdownCore1(config-if-range

16、)#exit (2)VLAN的配置VLAN是Virtual LAN，虚拟局域网的缩写，是一种不需要增加额外网络设备，就可以实现网络的分层技术，被大型大型网络广泛使用，IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行控制，而不管它处在网络中的哪个位置。VLAN的优势包括加强网络的安全性能、易于控制广播和能够分布通信量。VLAN的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工

17、作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。减少了广播量，提高通讯效率。划分VLAN有以下优点：可有效地控制广播风暴。可使网络有效的带宽利用。可使网络安全性的提高。可使网络管理更加简单、直观。针对当前IP地址紧缺的现状，我们不可能为每一台工作站申请一个公有IP地址，故公司内部使用私有地址不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支。为了让这些私有IP地址能够在公共INTERNET使用，我们必须对这样私有IP地址作NAT

18、（network address translation）即网络地址转换。NAT的配置我将后面的论述中进行配置。在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：表3-1 VLAN及IP划分VLAN号IP网段默认网关Vlan名称说明Vlan1IT管理部门、领导Vlan2Finance财务部门Vlan3Market市场部门Vlan4Customer_service客服部门Vlan5192

19、.168.5.1Purchase采购部门Vlan6Human_resource人力部门Vlan7Public_relations公关部门Vlan8Equipment设备后勤部门Vlan9After_sale售后部门Vlan10Server_group服务器群Vlan11Sale销售部门Vlan100172.

20、16.0.1Research研发部门Vlan200Produce生产部门考虑到以后的公司扩展，所以对研发和生产部门采用了B类地址，而其他部门则采用C类地址就够用了。配置core1：Core1(config)#vlan databaseCore1(config)#vlan 2Core1(config-vlan)#name FinanceCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(conf

21、ig)#vlan databaseCore1(config)#vlan 3Core1(config-vlan)# name MarketCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 4Core1(config-vlan)#name Customer_serviceCore1(config-if)#ip address 255

22、.255.255.0Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 5Core1(config-vlan)#name PurchaseCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 6Core1(config-

23、vlan)# name Human_resourceCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 7Core1(config-vlan)#name Public_relationsCore1(config-if)#ip address Core1(config-if)#no shutdownCore

24、1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 8Core1(config-vlan)# name EquipmentCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 9Core1(config-vlan)# name After_saleCore1(config-if)#i

25、p address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 10Core1(config-vlan)# name Server_groupCore1(config-if)#ip address 0 Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseC

26、ore1(config)#vlan 11Core1(config-vlan)# name SaleCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 100Core1(config-vlan)# name ResearchCore1(config-if)#ip address Core1(config-if)

27、#no shutdownCore1(config-if)#exitCore1(config)#vlan databaseCore1(config)#vlan 200Core1(config-vlan)#name FinanceCore1(config-if)#ip address Core1(config-if)#no shutdownCore1(config-if)#exit因为服务器群接在核心交换机上，所以把服务器的端口加入到vlan10中：Core1(config)# interface range gigabitethernet 2/1-10

28、Core1(config-if-range)#switchport access vlan 10Core1(config-if-range)#exit配置core2：由于core2是冗余备份的作用，所以vlan的配置与core1完全相同。(3)配置VTP当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP服务器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP服务器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减

29、轻了网络管理人员的工作负担。这里将core交换机配置为VTP服务器，命令如下：Core1(config)#vtp domain chiloudCore1(config)#vtp mode serverCore2(config)#vtp domain chiloudCore2(config)#vtp mode server(4)配置端口的TRUNK模式Vlan Trunking（vlan链路聚集），干道（trunk）能够在单条物理链路中承载多个VLAN的流量。Trunking（链路聚集）用于将第2层操作扩展到整个网络中。它有ISL和802.1Q两种标记方法。本设计中采用802.1Q的标记方法。C

30、ore1(config)# interface range gigabitethernet 1/3-5 Core1(config-if-range)# shutdown Core1(config-if-range)# switchport Core1(config-if-range)# switchport trunk encapsulation dot1q Core1(config-if-range)# switchport mode trunk Core1(config-if-range)# no shutdown Core1(config-if-range)# exitCore2的配置与

31、core1的配置相同。 (5)配置EtherchannelEtherChannel是把多条独立的以太网链路捆绑成为一条单独的逻辑链路。每个EtherChannel的接口都必须具有相同的速度，以及必须都被配置为二层或者三层接口。如果EtherChannel内的某一条链路失效了，原来在失效链路上面传输的流量将会那条EtherChannel内剩下的链路上面继续进行传输。交换机将收到一个信息，表明那条EtherChannel里面的链路失效了。从EtherChannel内其中一条链路进入的广播或者多播包将会被拒绝向EtherChannel内的其他链路进行转发。Core1(config)# interfa

32、ce range gigabitethernet1/1-2 Core1(config-if-range)#no ip address Core1(config-if-range)#switchport Core1(config-if-range)#switchport trunk encapsulation dot1q Core1(config-if-range)#switchport mode trunk Core1(config-if-range)#switchport trunk native vlan 1 Core1(config-if-range)#channel-group 1 m

33、ode onCore2与core的配置完全相同。(6)配置STPSTP概述STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元bpdu（bridgeprotocoldataunit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为blocking，来消除网络中的环路。ieee802.1d是最早关于STP的标准，它提供了网络的动态冗余切换机制。STP使您能在网络设计中部署备份线路，并且保证：在主线路正常工作时，备份线路是关闭的。当主线路出现故障时自动使能备份线路，切换数据流。STP配置如

34、下：（core1成为vlan2,3,4,5,6,100的STP根网桥；Core2成为vlan7,8,9,10,11,200的STP根网桥。）Core1(config)# spanning-tree vlan 2 root primaryCore1(config)# spanning-tree vlan 3 root primaryCore1(config)# spanning-tree vlan 4 root primaryCore1(config)# spanning-tree vlan 5 root primaryCore1(config)# spanning-tree vlan 6 ro

35、ot primaryCore1(config)# spanning-tree vlan 100 root primaryCore2(config)# spanning-tree vlan 7 root primaryCore2(config)# spanning-tree vlan 8 root primaryCore2(config)# spanning-tree vlan 9 root primaryCore2(config)# spanning-tree vlan 10 root primaryCore2(config)# spanning-tree vlan 11 root prima

36、ryCore1(config)# spanning-tree vlan 200 root primary(7)配置HSRPHSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol） 。热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据

37、包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。在core1的vlan2,3,4,5,6,100接口上，配置HSRP备用组，并配置高于core2的优先级；在core2的vlan7,8,9,10,11,200接口上，配置HSRP备用组，并配置高于core1的优先级：Core1#conf tCore1(config)#interface vlan 2Core1(config-if)#standby 1 ip 54Core1(config-if)#standby 1 priority 150Core1(config)#interface vlan 3Core1(co

38、nfig-if)#standby 2 ip 54Core1(config-if)#standby 2 priority 150Core1(config)#interface vlan 4Core1(config-if)#standby 3 ip 54Core1(config-if)#standby 3 priority 150Core1(config)#interface vlan 5Core1(config-if)#standby 4 ip 54Core1(config-if)#standby 4 priority 150Co

39、re1(config)#interface vlan 6Core1(config-if)#standby 5 ip 54Core1(config-if)#standby 5 priority 150Core1(config)#interface vlan 100Core1(config-if)#standby 6 ip 54Core1(config-if)#standby 6 priority 150Core2(config)#interface vlan 7Core2(config-if)#standby 7 ip 54Co

40、re2(config-if)#standby 7 priority 150Core2(config)#interface vlan 8Core2(config-if)#standby 8 ip 54Core2(config-if)#standby 8 priority 150Core2(config)#interface vlan 9Core2(config-if)#standby 9 ip 54Core2(config-if)#standby 9 priority 150Core2(config)#interface vlan 10Core2(co

41、nfig-if)#standby 10 ip 54Core2(config-if)#standby 10 priority 150Core2(config)#interface vlan 11Core2(config-if)#standby 11 ip 54Core2(config-if)#standby 11 priority 150Core2(config)#interface vlan 200Core2(config-if)#standby 12 ip 54Core2(config-if)#standby 12 pr

42、iority 150(8)给VLAN所有的节点分配动态IP地址（DHCP）。核心交换机上设置各VLAN同样的DHCP服务器的IP地址：： Core1 (config)#interface vlan 2Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 3Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 4

43、Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 5Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 6Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 7Core1 (config-if)#

44、ip helper-address DHCP Server IPCore1 (config)#interface vlan 8Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 9Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 10Core1 (config-if)#ip helper-address

45、 DHCP Server IPCore1 (config)#interface vlan 11Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 100Core1 (config-if)#ip helper-address DHCP Server IPCore1 (config)#interface vlan 200Core1 (config-if)#ip helper-address

46、 DHCP Server IPCore2的配置和Core1一样。再在DHCP服务器上设置网络地址分别为、、、的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样，可以保证所有的VLAN动态分配IP地址了。最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址即可。(9)配置VLAN间路由Core1 (config)#ip routingCore2 (config)#ip routing3.2.2 汇聚层设计 设备

47、的选择(1)Cisco Catalyst 3560-E系列交换机是一个企业级独立式配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合，Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。(2)Cisco Catalyst 3560-E系列的主要特性：Cisco TwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网； PoE配置，为所有48个端口提供了15.4W PoE； 模块化电源，可带外部可用备份电源；在硬件中提供组

48、播路由、IPv6路由和访问控制列表； 带外以太网管理端口，以及RS-232控制台端口。 本设计中采用Cisco Catalyst 3560E-12SD交换机：12个SFP千兆端口，2个基于X2的万兆以太网端口； 双可插拔300WAC或DC电源，冗余风扇； 1 RU固定配置多层交换机； IPv6 及IP Base软件特性集； 17.8Mpps吞吐量。 汇聚层交换机配置(1)基本配置与核心层交换机配置相同，汇聚层交换机有3台，分别命名为collect1、collect2和collect3。 (2)配置VTP因为在核心层交换机上已经配置好VLAN，故汇聚层交换机只需配置成VTP cli

49、ent学习server的VLAN配置，只要保证在同一个域中。Collect1(config)#vtp domain chiloudCollect1(config)#vtp mode clientCollect2(config)#vtp domain chiloudCollect2(config)#vtp mode clientCollect3(config)#vtp domain chiloudCollect3(config)#vtp mode client(3)配置端口的TRUNK模式Collect1(config)# interface range gigabitethernet 0/1-

50、7 Collect1(config-if-range)# shutdown Collect1(config-if-range)# switchport Collect1(config-if-range)# switchport trunk encapsulation dot1q Collect1(config-if-range)# switchport mode trunk Collect1(config-if-range)# no shutdown Collect1(config-if-range)# exitCollect2(config)# interface range gigabit

51、ethernet 0/1-7 Collect2(config-if-range)# shutdown Collect2(config-if-range)# switchport Collect2(config-if-range)# switchport trunk encapsulation dot1q Collect2(config-if-range)# switchport mode trunk Collect2(config-if-range)# no shutdown Collect2(config-if-range)# exitCollect3(config)# interface

52、range gigabitethernet 0/1-3 Collect3(config-if-range)# shutdown Collect3(config-if-range)# switchport Collect3(config-if-range)# switchport trunk encapsulation dot1q Collect3(config-if-range)# switchport mode trunk Collect3(config-if-range)# no shutdown Collect3(config-if-range)# exit(4)配置STPCollect

53、1(config)# spanning-tree vlan 100 root primaryCollect2(config)# spanning-tree vlan 2 root primaryCollect2(config)# spanning-tree vlan 3 root primaryCollect2(config)# spanning-tree vlan 4 root primaryCollect2(config)# spanning-tree vlan 5 root primaryCollect2(config)# spanning-tree vlan 6 root primar

54、yCollect2(config)# spanning-tree vlan 7 root primaryCollect2(config)# spanning-tree vlan 8 root primaryCollect2(config)# spanning-tree vlan 9 root primaryCollect2(config)# spanning-tree vlan 10 root primaryCollect2(config)# spanning-tree vlan 11 root primaryCollect3(config)# spanning-tree vlan 200 r

55、oot primary3.2.3 接入层设计 设备的选择配备LAN Base软件的Cisco Catalyst 2960系列交换机，是一系列采用以太网供电 (Power Over Ethernet PoE) 或非PoE配置，可提供桌面快速以太网和千兆以太网连接，并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置独立式智能以太网设备。Cisco Catalyst 2960 LAN Base系列可提供集成安全性，包括网络准入控制 (NAC)、高级服务质量 (QoS) 和为网络边缘提供智能服务的永续性。Cisco Catalyst 2960 LAN Base系列可实现

56、：为多达48个端口提供完全15.4瓦功率的PoE配置 在网络边缘提供高级访问控制列表 (ACL) 和增强安全性等智能化特性 支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路；其中每个两用上行端口分别拥有一个10/100/1000以太网端口和一个基于小形可插拔 (SFP) 的千兆以太网端口，每次有一个端口处于激活状态 采用高级QoS、速率限制、ACL和组播服务，提供网络控制和带宽优化 根据用户、端口和MAC地址，并通过多种不同的身份验证方法、数据加密技术和NAC，提供网络安全性 采用Cisco Network Assistant软件，轻松进行网络配置、升级和故障排除 采用Smartports对专业应用进行自动配置 本设计中采用Cat